【正文】 問權(quán)限，且所設(shè)權(quán)限不一致時(shí)，它的取舍原則 是取兩個(gè)權(quán)限的交集，也即最嚴(yán)格、最小的那種權(quán)限。 經(jīng)過上面的講解以后，你一定對(duì)權(quán)限有了一個(gè)初步了了解了吧？想更深入的了解權(quán)限，那么權(quán)限的一些特性你就不能不知道了，權(quán)限是具 有繼承性、累加性 、優(yōu)先性、交叉性的。那么，怎樣設(shè)置權(quán)限給這臺(tái) WEB 服務(wù)器才算是安全的呢？大家要牢記一句話：“最少的服務(wù) +最小的權(quán)限 =最大的安全”對(duì)于 服務(wù)，不必要的話一定不要裝，要知道服務(wù)的運(yùn)行是 SYSTEM 級(jí)的哦，對(duì)于權(quán)限，本著夠用就好的原則分配就是了。運(yùn)，列和讀權(quán)限。運(yùn)，列和讀權(quán)限； Power users擁有讀 amp。也可以抓 SERVU 下的 ，得到系統(tǒng)管理員權(quán)限。一個(gè)難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外。希望各個(gè)新 手管理員能合理給你的服務(wù)器數(shù)據(jù)進(jìn)行分類，這樣不光是查找起來方便，更重要的是這樣大大的增強(qiáng)了服務(wù)器的安全性，因?yàn)槲覀兛梢愿鶕?jù)需 要給每個(gè)卷或者每個(gè)目錄都設(shè)置不同的權(quán)限，一旦發(fā)生了網(wǎng)絡(luò)安全事故，也可以把損失降到最低。“寫入”就是能往該卷或目 錄下寫入數(shù)據(jù)?！巴耆刂啤本褪菍?duì)此卷或 目錄擁有不受限制的完全訪問。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼。而低權(quán)限的用戶無法對(duì)高權(quán)限的用戶進(jìn)行任何操作。 Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。但 Power Users 不具有將自己添加到 Administrators 組的權(quán)限。隨著人們安全意識(shí)的提高，權(quán)限設(shè)置隨 著 NTFS 的發(fā)布誕生了。 八、如果只做服務(wù)器，不進(jìn)行其它操作，使用 IPSec 管理工具 — 本地安全策略 — 右擊 IP 安全策略 — 管理 IP 篩選器表和篩選器操作 — 在管理 IP 篩選器表選項(xiàng)下點(diǎn)擊 添加 — 名稱設(shè)為 Web 篩選器 — 點(diǎn)擊添加 — 在描述中輸入 Web 服務(wù)器 — 將源地址設(shè)為任何 IP 地址 —— 將目標(biāo)地址設(shè)為我的 IP 地址 —— 協(xié)議類型 設(shè)為 Tcp—— IP 協(xié)議端口第一項(xiàng)設(shè)為從任意端口，第二項(xiàng)到此端口 80—— 點(diǎn)擊完成 — — 點(diǎn)擊確定。目前最新的版本是 ，如果是 2020Server 需 要先安裝 或 的版本。但有一點(diǎn)可以肯定我用了一段的時(shí)間沒有發(fā)現(xiàn)其它副面的影響 。 推薦的要審核的項(xiàng)目是： 登錄事件 成功 失敗 賬戶登錄事件 成功 失敗 系統(tǒng)事件 成功 失敗 策略更改 成功 失敗 對(duì)象訪問 失敗 目錄服務(wù)訪問 失敗 特權(quán)使用 失敗 五、其它安全相關(guān)設(shè)置 隱藏重要文件 /目錄 可 以 修 改 注 冊(cè) 表 實(shí) 現(xiàn) 完 全 隱 藏 ：“ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Explorer/Advanced/Folder/Hi dden/SHOWALL”，鼠標(biāo)右擊 “ CheckedValue”，選擇修改，把數(shù)值由 1 改為 0 啟動(dòng)系統(tǒng)自帶的 Inter 連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選 Web 服務(wù)器。 如果你使用 FrontPage 擴(kuò)展的 Web 站點(diǎn)再勾選： FrontPage 2020 Server Extensions 安裝 MSSQL 及其它所需要的軟件然后進(jìn)行 Update。 在運(yùn)行中輸 入 回車，打開組策略編輯器，選擇計(jì)算機(jī)配置 Windows設(shè)置安全設(shè)置 賬戶策略 賬戶鎖定策略，將賬戶設(shè)為“ 三次登陸無效”，“鎖定時(shí)間為 30 分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為 30 分鐘”。 打開“計(jì)算機(jī)”子文件夾。 刪除系統(tǒng)盤下的虛擬目錄，如： _vti_bin、 IISSamples、 Scripts、 IIShelp、 IISAdmin、IIShelp、 MSADC。 如果你的網(wǎng)頁是 .asp 網(wǎng)頁你需要在 DenyExtensions 刪除 .asp 相關(guān)的內(nèi)容。而如果更改的項(xiàng)數(shù)多，才發(fā)現(xiàn)出問題，那就 很難判斷問題是出在哪一步上了 十、權(quán)限部分 要打造一臺(tái)安全的 WEB 服務(wù)器，那么這臺(tái)服務(wù)器就一定要使用 NTFS 和Windows NT/2020/2020。 Administrators,管理員組，默認(rèn)情況下， Administrators 中的用戶對(duì)計(jì)算機(jī) /域有不受限制的完全訪問權(quán)。因此，用戶可以運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用 程序。 Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。弊就是以 Administrators 組成員的身份 運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險(xiǎn)的威脅。對(duì)于一個(gè)好的服務(wù)器管理員來說，他們通常都會(huì)重命名或禁用此帳戶。“ 修改”則像 Power users，選中了“修改”，下面的四項(xiàng)屬性將被自動(dòng)被選中。 下面我們對(duì)一臺(tái)剛剛安裝好操作系統(tǒng)和服務(wù)軟件的 WEB服務(wù)器系統(tǒng)和其權(quán)限進(jìn)行全面的刨析。好了，言歸正傳，該服務(wù)器的數(shù)據(jù)庫為 MSSQL， MSSQL 的服務(wù)軟件SQL2020 安裝在 d:/mssqlserver2K 目錄下，給 SA 賬戶 設(shè)置好了足夠強(qiáng)度的密碼，安裝好了 SP3 補(bǔ)丁。權(quán)限 將是你的最后一道防線！那我們現(xiàn)在就來對(duì)這臺(tái)沒有經(jīng)過任何 權(quán)限設(shè)置，全部采用 Windows默認(rèn)權(quán)限的服務(wù)器進(jìn)行一次模擬攻擊，看看其是否真 的固若金湯。 那我們現(xiàn)在就來看看 Windows 2020的默認(rèn)權(quán)限設(shè)置到底是怎樣的。運(yùn)，列和讀權(quán)限。SYSTEM同 Administrators。經(jīng)過這樣的設(shè)置后，再想通過我剛剛的方法 入侵這臺(tái)服務(wù)器就是不可能完成的任務(wù)了。但在分區(qū)內(nèi)移動(dòng)目錄或文件的時(shí)候，移動(dòng)過去的目錄和文件 將擁有它原先的權(quán)限設(shè)置。